Масштабний витік персональних даних українців із системи e-Нотаріат сколихнув інформаційний простір столиці вчора ввечері. За попередніми оцінками Кіберполіції України, у відкритому доступі могли опинитися дані понад 6 мільйонів громадян. Питання кібербезпеки знову стає пріоритетним для державних цифрових систем.
Система e-Нотаріат, запущена минулого року як частина цифрової трансформації України, мала забезпечити зручний і безпечний доступ до нотаріальних послуг онлайн. Однак через критичну вразливість у захисті даних відбувся витік інформації про нотаріальні дії громадян.
“Наразі ми працюємо над усуненням наслідків інциденту та проводимо ретельне розслідування”, – повідомив Олексій Петренко, керівник Департаменту кіберзахисту Міністерства цифрової трансформації. За його словами, систему вже відключено від мережі для проведення аудиту безпеки.
У Нотаріальній палаті України підтвердили факт витоку та висловили глибоке занепокоєння ситуацією. “Ми співпрацюємо зі слідством та надаємо всю необхідну інформацію для встановлення винних осіб”, – зазначила Ірина Сидоренко, голова НПУ.
Що відомо про витік
За інформацією Кіберполіції, у відкритому доступі опинилися паспортні дані, ідентифікаційні коди, адреси проживання та інформація про нотаріальні дії громадян. Особливо небезпечним є те, що серед викрадених даних могли бути відомості про договори купівлі-продажу нерухомості та транспортних засобів.
Виявив вразливість незалежний кіберспеціаліст Андрій Ковальчук, який звернувся до редакції Kyivnews.today. “Я випадково виявив незахищений API-інтерфейс системи, через який можна було отримати доступ до всієї бази даних без жодної авторизації”, – пояснив спеціаліст.
Ковальчук одразу повідомив про знахідку Державну службу спеціального зв’язку, проте реакція була запізнілою. За його словами, від моменту виявлення вразливості до її усунення минуло майже 6 годин, протягом яких дані могли бути скопійовані зловмисниками.
Реакція влади
Міністр цифрової трансформації Михайло Федоров терміново скликав засідання робочої групи з кібербезпеки. “Ми розцінюємо цю ситуацію як надзвичайно серйозну. Буде проведено внутрішнє розслідування та аудит усіх державних цифрових систем”, – заявив він.
У КМДА також відреагували на ситуацію, оскільки кияни становлять значну частину постраждалих. “Столична влада запроваджує додаткові заходи для захисту персональних даних мешканців Києва в міських цифрових сервісах”, – повідомив Петро Оленко, заступник голови КМДА з питань цифровізації.
Нацполіція відкрила кримінальне провадження за статтею 361 Кримінального кодексу України – несанкціоноване втручання в роботу автоматизованих систем. Розслідування веде Департамент кіберполіції.
Наслідки для громадян
Експерти з кібербезпеки застерігають: викрадені дані можуть використовуватися для шахрайств із нерухомістю та інших злочинів.
“Громадянам, які проводили нотаріальні дії через e-Нотаріат протягом останнього року, варто бути особливо пильними”, – радить Володимир Бутко, експерт із кібербезпеки компанії “КиївЗахист”. Він рекомендує перевірити актуальний статус своєї нерухомості в реєстрах та активувати додаткові послуги захисту, наприклад, SMS-сповіщення про будь-які дії з майном.
Міністерство цифрової трансформації вже запустило гарячу лінію для громадян, які турбуються про можливе викрадення своїх даних. За номером 1545 можна отримати консультацію та дізнатися, чи була ваша інформація серед викрадених.
Технічні причини витоку
Незалежні експерти вказують на системні проблеми в розробці державних цифрових сервісів. “Цей випадок демонструє, що при розробці не було проведено належного тестування на проникнення та аудиту безпеки”, – пояснює Олександр Корнієнко, засновник Київської асоціації IT-фахівців.
За його словами, одна з основних проблем – брак кваліфікованих спеціалістів із кібербезпеки в державному секторі через низькі зарплати порівняно з приватними компаніями.
“У приватному секторі такі фахівці отримують від $3000, тоді як державні структури пропонують щонайбільше $1000. Це створює системну вразливість для всіх державних IT-систем”, – додає Корнієнко.
Що робити далі
Якщо ви користувалися послугами e-Нотаріату, експерти радять:
1. Перевірити статус вашої нерухомості та транспортних засобів у відповідних реєстрах
2. Активувати SMS-сповіщення про будь-які дії з вашим майном
3. Бути особливо уважними до спроб шахрайства – дзвінків від “банків” чи “державних органів”
4. За підозрілої активності негайно звертатися до кіберполіції
“Цей інцидент має стати серйозним уроком для всіх розробників державних інформаційних систем”, – підсумував Петренко з Мінцифри. За його словами, найближчим часом буде розроблено нові стандарти захисту персональних даних у державних реєстрах та проведено масштабний аудит існуючих систем.
Тим часом Київська міська прокуратура взяла розслідування витоку на особливий контроль, враховуючи можливий вплив на майнові права значної кількості громадян.
